Question

我是HTML新手。所以，即使你发现这个问题很傻也请回答。它会对我有所帮助。

我得到了xss攻击。 OWASP表示在将不受信任的数据插入HTML元素内容之前执行HTML Escape。

https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

这意味着我应该通过以下方式转义字符：

& --> &amp;
< --> &lt;
> --> &gt;
" --> &quot;
' --> &#x27;
/ --> &#x2F;

我搜索了很多HTML中的方法来应用这个转义？但找不到任何东西。请指导我如何以有效的方式做到这一点？

添加代码来解释：

<html>
<head>
<meta charset="utf-8"/>
</head>
<body>
    <input type="text" id="userInput"=>give me input</input>
    <button onclick="test()">Submit</button>
    <p id="demo"></p>   
    <script>
        function test()
        {
            var userInput = document.getElementById("userInput").value;
            document.write(userInput);
        }
    </script>
</body>
</html>

如果在userinput字段中，用户插入：alert（“xss”）;

然后会弹出。

我希望避免用户在var userInput中提供的弹出和存储值。此外，我计划在UI上显示此值。

HTML：逃避字符吨避免xss攻击

0 个答案: